SERVICIOS PROFESIONALES FRANCISCO ANDRADES

Como profesional de la seguridad informática y experto en sociedad de la información e infraestructuras de red ofrezco una serie de servicios de asesoría, consulta y redacción de informes, tanto para la obtención de diversos certificados de seguridad como para el cumplimento del marco de referencia legal. Asimismo, apoyo a empresas y particulares en situaciones en las que se requieran informes periciales forenses y en situaciones de contingencias de seguridad.

 

 

  • Asesoría en la implantación y gestión de la LOPD (Ley orgánica de protección de datos)
  • Asesoría en Ciberseguridad, fortificado de redes empresariales. Sistemas de gestión de seguridad informática.
  • Perito informático Forense.  Elaboración de informes Forenses y defensa en casos judiciales de dichos informes.
  • Auditoría de redes e infraestructuras. Preparación para la obtención de certificados ISO 27001, 27002, ENS, etc.
  • Auditoria de sitios web y protección frente a hackeos
  • Creación de sitios web
  • Borrado seguro y destrucción de datos. Gestión de datos privados.
  • Servicios de recuperación de datos multiplataforma (PC, Smartphone, medios externos).
  • Formación a medida para empresas y usuarios en seguridad y gestión de la información.
  • Certificación ANCIPIF sobre seguridad en redes y cumplimiento de estándares de seguridad.
  • Mediación tecnológica.
  • Inventariado y valoración de dispositivos e infraestructuras.
  • Asesoría en certificaciones electrónicas y relaciones con la eAdministracion.
  • Asesoría y apoyo frente a delitos de tipo informático. Planes de contingencia y acción.

DESCRIPCIÓN DE LAS ACTIVIDADES PROFESIONALES

 

help-button-66608_640

 

 ASESORÍA EN EL CUMPLIMIENTO DE LA LOPD

Asesoría en LOPD, redacción del documento de seguridad y elevación a la Agencia de protección de Datos para PYMES, organismos y ayuntamientos. Revisión anual del documento de seguridad, actualización y nuevas autorizaciones. Todos los casos incluyen una asesoría básica en formación.

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y su reglamento de desarrollo aprobado por el Real Decreto 1720/2007 (RLOPD) concretan la forma en la que se regula la protección de datos de carácter personal por toda empresa o administración que disponga de datos de usuarios o clientes.

Esta ley se fija como objetivo en su artículo primero “garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar”.

Esta ley es de obligado cumplimiento. Se divide en tres niveles:

  • Nivel básico: datos identificativos, como el NIF, NºSS, nombre, apellidos, dirección, teléfono, firma, imagen, e-mail, nombre de usuario, número de tarjeta, matrícula, etc…
  • Nivel medio: datos a cerca de infracciones administrativas o penales, solvencia o crédito, datos tributarios o de la Seguridad Social, datos de prestación servicios financieros, y datos referentes a la personalidad o comportamiento de las personas, como gustos, costumbres aficiones etc…
  • Nivel alto: datos a cerca de ideología, religión, creencia, origen racial, salud, vida sexual o violencia de género. Son ficheros de especial protección.

Cada organización debe nombrar un responsable de protección de datos, con las siguientes obligaciones:

  • Inscripción de ficheros; ante el Registro General de Protección de datos.
  • Calidad de los datos; que estos sean adecuados y veraces.
  • Deber de guardar secreto; garantizar el cumplimiento de los deberes de secreto y seguridad.
  • Deber de información; Informar y obtener consentimiento para la recogida y tratamiento de los datos personales.
  • Atención de los derechos de los ciudadanos; derecho de acceso, derecho de rectificación y cancelación y derecho de oposición.

Existe un régimen sancionador, modificado con la Ley 2/2011, de 4 de marzo de Economía Sostenible, sobre la LOPD, artículo 45 que se resume en:

  • Infracciones leves sancionadas con multas de 900 a 40.000€.
  • Infracciones graves sancionadas con multas de 40.001 a 300.000€.
  • Infracciones muy graves sancionadas con multas de 300.001 a 600.000€.

 La AEPD, Agencia Española de Protección de Datos, es la autoridad de control independiente que vela por el cumplimiento de la normativa y garantiza el derecho fundamental a la protección de datos personales.

Para velar por su cumplimiento existe un Plan de inspección de oficio, especialmente enfocado a administraciones públicas.

El proceso de implantación y cumplimiento de esta ley consta de una serie de procedimientos necesarios para su correcta consecución:

  • Identificación de los ficheros que contengan datos de carácter personal (empleados, clientes, proveedores, etc…).
  • Identificación del nivel de seguridad que se les aplica.
  • Identificación del Administrador del Fichero.
  • Elaboración del Documento de Seguridad.
  • Formación al Responsable del Fichero.
  • Información a los propietarios de los datos, sobre la existencia de los ficheros.
  • Inscripción de los ficheros en el Registro de la Agencia Española de Protección de Datos.

 

La existencia de datos de nivel medio y/o alto obliga a la realización de una auditoría, como mínimo bienales, que debe concluir con un informe de adecuación. El Responsable de Seguridad elevará las conclusiones al Responsable de Fichero para que elija las medidas correctoras necesarias, quedando este informe a disposición de la AEPD y de las autoridades de control de cada Comunidad Autónoma.

La importancia del cumplimiento de la Ley de protección de datos es en este momento un deber inexcusable de toda empresa, expuesta de lo contrario a un régimen sancionador estricto.


file0001291080523

ASESORÍA EN SEGURIDAD DE LA INFORMACIÓN Y ADMINISTRACIÓN ELECTRÓNICA

Asimismo ofrece la redacción de un documento básico de adecuación al as normas ISO 27001/27002 Sobre la seguridad de la información. La elaboración de un Plan de Sistemas de seguridad de la información (SGSI) pronto será de obligado cumplimiento. Por ello, un informe externo por parte de un experto en seguridad informática es un requisito importante. Los precios de estas consultorías varían en función del alcance y la dimensión de la infraestructura a valorar.

La experiencia del equipo multidisciplinar, permite una asesoría en la implantación de portales de administración electrónica, así como la asistencia a usuarios de forma telemática, lo que permite una resolución eficaz y temprana de incidencias corrientes que pueden de lo contrario ralentizar los procesos administrativos corrientes.

Para ello ofrecemos también un servicio de asesoría sobre implantación de servicios externos o internos en la administración electrónica, portales de transparencia y firma electrónica.

Por otro lado, se ofrece un servicio de asistencia remota informática en todos los aspectos descritos dentro de unos rangos mensuales a precios muy contenidos.

 

security-265130_1920


PERICIA INFORMÁTICA

 

Otro aspecto destacable del paquete de servicios que ofrecemos es la posibilidad de realizar informes periciales informáticos, especialmente cara a demandas, reclamaciones y procesos judiciales variados. Casos como el uso incorrecto o fraudulento de aplicaciones y/o equipos, verificación de correos y otros tipos de mensajes, o la demostración de imágenes, necesitan de un profesional que contemple todas las pautas necesarias de todo el proceso de captación e informe de evidencias digitales.  Para ello, la aportación de un informe pericial, supone la clave fundamental en la consecución de un resultado satisfactorio.

La garantía profesional avalada por tanto por casos previos como por la pertenencia a uno colectivo profesional como ANCIPIF y la inserción dentro del equipo de respuesta de OEDI permiten saber qué elementos esenciales en la elaboración de un informe pericial se siguen. La permanente vigilancia de la cadena de custodia, la identificación y análisis de los elementos fundamentales y la elaboración de un informe siguiendo los estándares del sector son factores determinantes a la hora de elegir un perito informático forense que posibilite un éxito procesal.

 

 privacidad

 


Auditoría de redes e infraestructuras. Preparación para la obtención de certificados ISO 27001, 27002, ENS, etc.

            Las empresas necesitan cada vez una mayor seguridad ante la exposición de mayores activos en la red.  Los nuevos marcos legislativo en desarrollo en el entorno europeo, así como la progresiva asimilación de los conceptos de ciberseguridad en los terrenos como los seguros hacen cada vez más necesaria la puesta en valor de auditorías de seguridad y cumplimento normativo.

Poder establecer unos parámetros mínimos en la seguridad de la información y unos métodos de resolución de contingencias es hoy día un elemento esencial para la continuidad de los negocios.

La Posibilidad de establecer diversos tipos de auditoras, internas, externas, BlackBox o WhiteBox (dependiendo de si se hace con apoyo o sin este) así como integran equipos Rojos y Azules (ya sea vaya a probar la resistencia de la red o la capacidad de ser vulnerada) debe ser puesto debidamente en valor.


Certificación sobre seguridad en redes y cumplimiento de estándares de seguridad.

Dentro de las capacidades de la Asociación Española de Peritos Informáticos Forenses está la de certificar mediante estándares propios los requisitos de seguridad de una instalación informática empresarial. De la mano de esta certificación, se puede acceder a mejores condiciones en seguiros y acceso garantizado a contratas que comienzan a solicitar este tipo de auditorías a la hora de aceptar la encomienda de determinados trabajos.


Formación a medida para empresas y usuarios en seguridad y gestión de la información

Como profesional del sector de la ciberseguridad, con capacitación como formador ofrezco tanto cursos y talleres online, como para empresas a diverentes niveles. Desde cursos iniciales en ciberseguridad a  temas más centrados en el hacking ético, OSINT y ciberseguridad avanzada.


Otros servicios Profesionales

Dentro de la cartera de servicios que puedo ofrecer en torno a la ciberseguiridad destacaría:

  • Borrado seguro y destrucción de datos. Gestión de datos privados.
  • Servicios de recuperación de datos multiplataforma (PC, Smartphone, medios externos).
  • Formación a medida para empresas y usuarios en seguridad y gestión de la información.
  • Mediación tecnológica.
  • Inventariado y valoración de dispositivos e infraestructuras.
  • Asesoría en certificaciones electrónicas y relaciones con la eAdministracion.
  • Asesoría y apoyo frente a delitos de tipo informático. Planes de contingencia y acción

 

faldon-andradesfran